对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。
如何防止黑客入侵
首先,世界上没有绝对安全的'系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
(二)做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
(三)关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。
( 四)软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
(五)开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
新手远程管理Win2003服务器技巧
我目前远程管理着多台服务器,并且经常需要远程连接到客户的系统上解决问题或是向客户演示如何去完成特殊的任务,其中有些客户的系统位于200英里以外的地方。
在过去,我一直使用Virtual Network Computing来连接这种服务器或客户机,不过使用VNC需要在防火墙上打开某些特定的端口,这需要涉及防火墙和内部网络的配置,以及在防火墙上建立端口映射。因此,虽然VNC是免费软件并且也有很好的跨平台性能,但它仍需要我在网络的可访问性上花费不少时间。
使用类似VNC 这种远程控制软件的另一点不足就是你必须在远程系统中安装服务器端程序,并在自己的机器上安装客户端程序。这在通常情况下都是可以实现的,但如果你不得不使用公用电脑或出于其它某些原因无法安装相应的远程管理软件,此时远程桌面Web连接(Remote Desktop Web Connection ,RDWC)就成为了一个很好的选择。
虽然RDWC仍然无法避免在防火墙上打开特定端口的问题,但它完全避免了远程访问客户端软件的问题。下面我就来介绍一下RDWC是如何工作的,如何用它管理你的服务器和工作站以及如何配置防火墙才能正常使用RDWC。
关于远程桌面Web连接的说明
RDWC集成在Windows Server 2003 以及Windows XP系统中。带有RDWC的系统可以启动终端服务Web客户端(Terminal Services Web Client)的计算机,以便Web浏览器可以访问。换句话说,客户端系统不需要运行远程桌面连接程序或终端服务(Terminal Services)客户端程序来连接远程系统,而只需要使用常用的Web浏览器就可以进行连接了。
RDWC是由一个 ActiveX控件、几个简单的Web页面以及可以运行IIS4.0或以上版本进行远程连接服务的文件构成的。因此不论是Windows Server 2003、Windows NT、Windows 2000,或是Windows XP,都可以作为被远程控制的系统。而实现远程控制的客户端必须采用运行Internet Explorer 5.0或以上版本的浏览器的Windows平台。
对于远程控制来说,RDWC是一个很好的解决方案,同时,对于远程管理以及远程技术支持来说,RDWC也非常合适。另外,对于需要远程访问数据的业务伙伴、移动办公用户以及其他不愿意安装客户端程序的用户来说,RDWC也是很好的选择。
那么RDWC是如何工作的呢?当你安装RDWC时,安装程序会在目标服务器的Administration Web站点上安装一个Tsweb虚拟目录。当担任远程控制任务的电脑连接到这个目标服务器上时,远程电脑中的IE浏览器会自动下载一个CAB文件包,用来安装RDWC所需的ActiveX控件。如果远程电脑中已经带有这个控件,只是版本与目标服务器的版本不符,那么IE也会自动下载新的.。自动安装好 ActiveX控件后,连接页面就会出现。稍后我会介绍从客户端系统的连接过程。现在我们先安装RDWC。在本文中,我假定你使用Windows Server 2003。当然,如果你使用上面提到的任何一种平台也是一样的。
在Windows Server 2003上配置RDWC 虽然RDWC包含在Windows Server 2003中,不过默认情况下它并不会被安装。要手动安装RDWC,你需要在控制面板中点开“添加删除程序项。然后点击“添加/删除Windows组件,激活Windows组件向导。点击“应用服务器(Application Server),然后点击“详细资料,添加“互联网信息服务(IIS)。依次点击“详细资料/“WWW服务/“详细资料,然后添加“远程桌面 Web连接。之后点击完成让安装程序安装指定的组件。
安装完成后,打开IIS管理控制台,并展开Web站点默认Web站点。你会发现这里出现了一个Tsweb虚拟目录,如果你点击它,右边会列出一系列文件,其中包括一个名为Msrdp.cab的文件。在IIS中,你不需要进行有关RDWC的配置,不过需要在系统属性中允许系统接受远程连接请求。
具体的做法是:右键点击“我的电脑并选择“属性,并打开“系统属性对话框。点击“远程选项卡并勾选“Allow Users To Connect Remotely To This Computer。默认情况下,只有管理员组的用户可以连接到这台电脑中。至于如何让其他用户利用RDWC访问到该系统则要看服务器端的配置了。首先我们来看看独立或成员服务器的配置。
如果这台电脑不是域控制器,那么使能RDWC用户比较容易。首先,在系统属性对话框中点击 “Remote选项卡。然后点击“Select Remote Users,在弹出的“Remote Desktop Users对话框中点击“Add,输入用户名后点击“OK。如果有多个用户需要连接,重复这个步骤即可。
通过这种方法添加用户,Windows Server会将用户加入“BuiltinRemote Desktop Users组。实际上“Remote Desktop Users对话框就是简单的显示出了该组的成员,并为用户提供了一个修改该组成员的界面。在默认情况下,这个组的成员都具有“Allow Log On Through Terminal Services权限,这使得该组成员都可以通过RDWC进行远程登录。如果你愿意,也可以从“Local Users And Computers控制台完成相同的工作,而不必进入系统属性对话框。如果这台电脑是一个域的成员服务器,你同样可以在“local Remote Desktop Users组中添加域账户来让这些用户可以通过RDWC连接到服务器。
如果这台电脑属于域控制器,你还需要更进一步允许非管理员组的成员通过RDWC登录系统。在“Administrative Tools文件夹下点击“Domain Controller Security Policy打开“Default Domain Controller Security Settings控制台。进入“Local PoliciesUser Rights AssignmentAllow Log On Through Terminal Services,然后打开该策略并设置为“Enabled。然后添加管理员组、远程桌面用户组以及其它你希望具有远程访问权限的独立用户或用户组。当然,你需要清楚哪些用户或用户组在进行远程访问时对系统的安全性不会造成不利影响。
通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS)Web服务器才是真正意义上的众矢之的。
高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算
(其实许多它们的私有部门也面临着相似的局面)。
正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。
首先,开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。
通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
IIS安全技巧
微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。
1.
保持Windows升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
2.
使用IIS防范工具:
这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。
3.
移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的
(他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限。
4.
如果你并不需要FTP和SMTP服务,请卸载它们:
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
5.
有规则地检查你的管理员组和服务:
有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows
2000
Resource
Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost
之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。
6.
严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。
7.
设置复杂的密码:
我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码
(例如"password"或是
changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。
8.
减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。
9.
禁用TCP/IP协议中的NetBIOS:
这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。
10.
使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。
11.
仔细检查*.bat和*.exe
文件:
每周搜索一次*.bat
和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12.
管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13.
使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15.
审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问,
WhosOn
会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是
Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧:
登陆你的Web服务器并在命令行下运行netstat
-an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)